Ethical Hacking: Wie ethische Hacker Unternehmen vor echten Angriffen schützen
Ethical Hacking deckt Schwachstellen auf, bevor Kriminelle sie ausnutzen. Cyber Security Trainer Mathias Gut erklärt, unter welchen Bedingungen das legale Hacken durchgeführt werden darf, welche Grenzen gelten und warum menschliche Kreativität in der Cybersicherheit unersetzlich bleibt.
Was ist Ethical Hacking, wie läuft ein Penetrationstest ab und worin liegt der Unterschied zu kriminellen Angriffen? Cyber-Security-Experte und digicomp-Trainer Mathias Gut zeigt, wie autorisierte Hacker/innen die Sicherheit von Organisationen nachhaltig stärken.
Welche zentralen Merkmale unterscheiden das systematische und autorisierte Ethical Hacking von unbefugten, kriminellen Angriffen?
Mathias Gut: Wie das Wort «ethisch» im Begriff «Ethical Hacking» aussagt, wird ein/e ethische/r Hacker/in niemals Schaden anrichten. Zum ethischen Umgang gehört auch, dass die Einwilligung des Eigentümers oder der Eigentümerin des zu testenden Zielsystems vorliegt oder ein dokumentiertes Bug-Bounty-Programm besteht. Unbefugtes, also nicht autorisiertes Hacking, gehört definitiv nicht dazu.
Welche rechtlichen und organisatorischen Regeln sichern ein Ethical-Hacking-Mandat ab und wie wird gewährleistet, dass Tests nur im klar definierten Rahmen stattfinden? Und worin unterscheidet sich Ethical Hacking von etablierten Sicherheitsprüfungen wie Penetrationstests oder Vulnerability Assessments?
Beim rechtlich einwandfreien, «ethischen» Hacking spricht man im Fachjargon auch von Penetrationstests. In den «Rules of Engagement» wird mit dem Kunden vertraglich festgehalten, welche Systeme und Applikationen mit welchen Tests und unter welchen Voraussetzungen geprüft werden dürfen. Zusätzlich sind die rechtlichen Rahmenbedingungen des Landes zu berücksichtigen, in dem sich der Kunde und die zu testenden IT-Anlagen befinden.
Wichtig ist, dass die Eigentümer/innen der Systeme und Applikationen dem Test schriftlich zustimmen und über mögliche Konsequenzen informiert sind. Dies gilt auch für die Plattformbetreiberin bei eingemieteten Systemen, insbesondere bei Cloud-Lösungen.
Selbstverständlich muss sich die mit dem Penetrationstest beauftragte Firma auch durch einen rechtssicheren Haftungsausschluss absichern, denn trotz aller Professionalität und Vorsicht sind Schäden nie ganz auszuschliessen.
Sowohl der bereits beschriebene Penetrationstest als auch das breiter angelegte Vulnerability Assessment, bei dem es um die Aufdeckung möglichst aller bekannten Schwachstellen geht, verfolgen klare Ziele in einem vertraglich festgelegten Rahmen. Für eine konsequente Angriffssimulation dürfte ein echtes ethisches Hacking nicht so stark eingeschränkt werden. Ab wann ein solcher Test noch als ethisch gilt, ist allerdings eine andere Frage – eine, die sich Cyberkriminelle nicht stellen.
Da der Begriff «Ethical Hacking» sehr breit gefasst ist, werden im Vorfeld jedes Auftrags die Prüfobjekte, der Prüfzeitpunkt, das Prüfziel, die Prüfmethoden und insbesondere die Grenzen gemeinsam definiert und schriftlich festgehalten. Unverzichtbar ist auch ein Notfallkontakt, der umgehend verständigt werden kann, wenn etwas nicht den Erwartungen entspricht oder schwerwiegende Schwachstellen gefunden werden.
📌«Ein/e ethische/r Hacker/in wird niemals Schaden anrichten.»
Wer beauftragt Ethical Hacking typischerweise und welche Ziele verfolgen diese Organisationen?
Insbesondere für Firmen, die hoch schützenswerte Informationen verarbeiten, ist das ethische Hacken interessant. Es kann sogar in Form von regelmässigen Tests Teil der Erfüllung der internationalen Norm «ISO 27001» für das Informationssicherheitsmanagement sein. Heute ist es mithilfe kluger Software möglich, das Attack-Surface- und Vulnerability-Management bis zu einem hohen Grad zu automatisieren. Erfahrene ethische Hacker/innen, die mit neuesten Angriffsmethoden und eigenen kreativen Ideen Organisationen auf Verwundbarkeiten prüfen, sind jedoch nach wie vor unverzichtbar und werden dies aus meiner Sicht auch lange noch bleiben. Gerade beim Social Engineering sind trotz KI-Unterstützung zusätzliche menschliche Interaktionen erforderlich. Dabei geht es um den Menschen selbst, beispielsweise mit auf den Kunden zugeschnittenen, gewieften Geschichten. Es wird also gewissermassen das Gehirn selbst gehackt.
Welche Einschränkungen unterscheiden Ethical Hacking vom Vorgehen krimineller Angreifer/innen?
Betrug, Erpressung, Einschüchterung oder gar Drohungen sind gängige und erfolgreiche Methoden krimineller Akteure und stehen in keinem Fall im Einklang mit Ethik. Zudem muss ein krimineller Angreifer keine Rücksicht auf Schäden nehmen, die durch seine Aktionen entstehen können. Es liegt jedoch auch im Interesse von Kriminellen, dass das Opfer während des Angriffs keinen so hohen Schaden erleidet, dass im Anschluss kein Erpressungsgeld mehr gezahlt werden kann oder wertvolle Daten nicht mehr verfügbar sind.
Wie gleichen Ethical Hacker/innen diese Einschränkungen durch methodisches Vorgehen aus?
Ein klarer Vorteil des legalen Testens ist, dass je nach Prüfbereich Transparenz über die zu prüfende Infrastruktur besteht. Bei voller Transparenz spricht man von der Vorgehensmethode des White-Box-Testings, wobei alle benötigten Informationen zur Verfügung stehen. Diese Informationen besitzt ein krimineller Akteur in der Regel nicht. Dadurch kann viel Zeit gespart werden, die für tiefgreifendere Tests genutzt werden kann.
Welche Risiken oder unbeabsichtigten Folgen können trotz autorisiertem Vorgehen entstehen?
Auch bei einer professionellen Vorbereitung lassen sich unbeabsichtigte Folgen wie Ausfälle und Datenbeschädigungen nie vollständig ausschliessen. Dies muss den Auftraggeber/innen von Anfang an bewusst sein und ist ein klarer vertraglicher Bestandteil mit entsprechendem Haftungsausschluss. Daher bevorzuge ich gerade in kritischen Umgebungen Testsysteme, die dank Virtualisierung heute ohne grossen Aufwand im gleichen Aufbau wie die produktive Umgebung bereitgestellt werden können. So lassen sich sowohl Beschädigungen als auch Reputationsschäden vermeiden beziehungsweise stark einschränken. Erwähnenswert ist ausserdem, dass viele bewährte Testwerkzeuge zwar aus einer breiten, gut vernetzten Community stammen, aber dadurch nicht automatisch als sicher einzustufen sind. Wie bei jeder Software können auch hier Schwachstellen oder eingebetteter Schadcode lauern, selbst wenn viele Augen die Software beobachten – was wiederum ein Vorteil ist.
Wie stärken Ethical Hacks dauerhaft die Abwehrfähigkeit und Widerstandskraft gegenüber realen Cyberangriffen?
Nur durch kontinuierliches Testen der IT-Infrastruktur können Schwächen und insbesondere schwerwiegende Schwachstellen frühzeitig erkannt und geschlossen werden. Zudem werden durch gezielte und neuartige Tests die Widerstandsfähigkeit der gesamten Organisation sowie die menschlichen Schwächen und bereits getroffenen Massnahmen fortlaufend hinterfragt. So kann die Sicherheit kontinuierlich erhöht werden, während die Möglichkeiten der Angreiferseite mitberücksichtigt werden. Eine weitere kluge Form des Testens ist das Red-Teaming: Dabei simuliert das Red-Team die Angriffsseite und das Blue-Team die Verteidigung. Im Vergleich zum Penetrationstesting geht das Red-Teaming weiter, da dabei auch Last- und Alarmtests durchgeführt werden. Es kommt also darauf an, ob ein Angriff sowohl erkannt als auch erfolgreich abgewehrt werden kann. Dies ist ein zentrales Thema meiner Kursreihe, das wir in meinem HAK3-Kurs mit eigenen Testskripten eingehender beleuchten. Es bleibt jedoch ein Katz und Maus Spiel, bei dem jede Seite durch neue Methoden und Techniken Vorteile erreichen will. Daher ist Stillstand im Bereich der Schwachstellen- und Penetrationstests keine valable Option.
Wo stösst Ethical Hacking an seine Grenzen, und wann sind automatisierte oder andere Massnahmen zielführender?
Die Grenzen des rein manuellen ethischen Hackings sind überall dort erreicht, wo dynamische Veränderungen in IT-Infrastrukturen zu erwarten sind, eine hohe Exposition besteht oder schlicht die finanziellen Mittel fehlen. Dabei geht es nicht darum, auf automatisch agierende Anwendungen zu verzichten, wenn vom manuellen und ethischen Hacken die Rede ist. Es gibt daher Sicherheitstests, die grundsätzlich regelmässig, automatisiert und damit kostenschonend durchgeführt werden können. Meiner Meinung nach ist ein einmalig durchgeführtes Schwachstellen-Assessment in heutigen IT-Umgebungen nur als Standortbestimmung sinnvoll. Andererseits ist eine gründliche Sicherheitsprüfung mit einer alleinigen automatischen Lösung nicht möglich. Gerade in kritischen Bereichen sollte sie deshalb durch gezielte und neuartige manuelle Tests ergänzt werden. Hier kommt das ethische Hacken wieder zum Zug. Es braucht also beides: Einerseits ist hohes Hacking-Fachwissen erforderlich, um Ergebnisse aus automatischen Tools zu verstehen und False Positives validieren zu können. Andererseits müssen die Aussagen der Tools im Kontext der Bedrohung richtig priorisiert werden. In meinen Kursen gehen wir gezielt auf diese praxisbezogenen Vorgehensweisen und die sich daraus ergebenden Fragestellungen ein.
📌«Wer im Bereich des ethischen Hackings tätig sein möchte, sollte den nötigen Biss mitbringen. Oftmals gelingt ein erfolgreicher Angriff im Rahmen eines Penetrationstests nicht auf Anhieb. Nur wer die Extrameile geht, hat am Schluss Erfolg.»
Wie verändern Cloud-Computing, das Internet der Dinge (IoT) und der Einsatz von Künstlicher Intelligenz die Methoden, Herausforderungen und Chancen für Ethical Hacker?
Weit verbreitete Formen der Digitalisierung wie Cloud-Computing, das Internet der Dinge (IoT) oder neu auch stark zunehmende Lösungen auf Basis von künstlicher Intelligenz erfordern angepasste Herangehensweisen. Grundsätzlich sind jedoch auch in der Cloud platzierte Systeme, IoT-Geräte oder Schnittstellen zu KI-Lösungen meist über klassische Netzwerktechnologien verbunden. In dieser Hinsicht weisen sie daher ähnliche Schwächen und damit verbundene Angriffsflächen auf wie herkömmliche IT-Systeme. Demgegenüber kommen mit dem gezielten Prompt-Engineering und dem damit verbundenen Prompt-Hacking neue Perspektiven hinzu. Etwas, das mich persönlich sehr beschäftigt und Teil meines HAK4-Kurses ist, ist die schnelle Portierung von Exploit-Codes mittels KI in verschiedene Lösungen und Lösungsansätze.
Welche technischen, methodischen und persönlichen Fähigkeiten sind für eine professionelle Ausübung erforderlich?
Wer im Bereich des ethischen Hackings tätig sein möchte, sollte kreativ sein, Dinge anders denken und vor allem den nötigen Biss mitbringen. Oftmals gelingt ein erfolgreicher Angriff im Rahmen eines Penetrationstests nicht auf Anhieb. Nur wer die Extrameile geht, hat am Schluss Erfolg. Genauso wichtig sind ein nachvollziehbares und methodisches Vorgehen sowie ein tiefes Verständnis von IT-Technologien und nützlicher Hacking-Werkzeuge.
Welche anerkannten Zertifizierungen und einschlägigen Erfahrungswerte sind in der Praxis besonders relevant?
Vieles wird in meiner HAK-Kursreihe praxisnah vermittelt und durch viele gemeinsame Hands-on-Labs und in aufeinander abgestimmten Kursen von mir und meinem Trainerkollegen Yves Kraft ergänzt vertieft. So erwerben die Teilnehmenden die Kompetenzen für anerkannte Zertifizierungen wie den «OSSTMM Professional Security Tester» (OPST) oder den CAS «Cyber Security Expert». Damit können sie ihr methodisches und technisches Wissen im Bereich professioneller Sicherheitstests belegen. Das ist ein wichtiger Schritt im ethischen Hacking und schafft echten Mehrwert für Tätigkeiten in der Cybersicherheit.